Compartir vía


Referencia de alertas de Microsoft Defender para IoT

Este artículo proporciona una referencia de las alertas que los sensores de red de Microsoft Defender para IoT generan, incluyendo una lista de todos los tipos de alerta y sus descripciones. La referencia también muestra qué alertas se pueden evaluar como aprendiz o no, para obtener más información sobre el estado de aprendizaje, consulte Estado de alerta y opciones de evaluación de prioridades. Puede usar esta referencia para asignar alertas a cuadernos de estrategias, definir reglas de reenvío en un sensor de red de tecnología operativa (OT) u otra actividad personalizada.

Alertas de OT desactivadas de manera predeterminada

Varias alertas están desactivadas de manera predeterminada, como se indica con asteriscos (*) en las tablas siguientes. Los usuarios administradores del sensor de OT pueden habilitar o deshabilitar alertas desde la página Asistencia de un sensor de red de OT específico.

Si desactiva alertas a las que se hace referencia en otros lugares, como las reglas de reenvío de alertas, asegúrese de actualizar estas referencias según sea necesario.

Gravedad de las alertas

Las alertas de Defender para IoT usan los siguientes niveles de gravedad:

Azure portal Sensor de OT Descripción
Alta Critical) (Crítico) indica un ataque malintencionado que debe administrarse inmediatamente.
Media Major indica una amenaza de seguridad que es importante solucionar.
Baja Secundaria, Advertencia Indica cierta desviación del comportamiento de línea de base que puede contener una amenaza de seguridad o que no contiene amenazas de seguridad.

Las gravedades de alerta de esta página muestran la gravedad como se muestra en Azure Portal.

Tipos de alerta admitidos

Tipo de alerta Descripción
Alertas de infracción de directivas Se desencadena cuando el motor de infracción de directivas detecta una desviación del tráfico previamente aprendido. Por ejemplo:
- Se detecta un nuevo dispositivo.
- Se detecta una nueva configuración en un dispositivo.
- Un dispositivo no definido como dispositivo de programación realiza un cambio de programación.
- Se produce un cambio en la versión del firmware.
Alertas de infracción de protocolos Se desencadenan cuando el motor de infracción de protocolos detecta valores de campo o estructuras de paquetes que no cumplen la especificación del protocolo.
Alertas operativas Se desencadenan cuando el motor operativo detecta incidentes operativos de red o un dispositivo que no funciona correctamente. Por ejemplo, un dispositivo de red se detuvo con un comando Stop PLC, o una interfaz en un sensor dejó de supervisar el tráfico.
Alertas de malware Se desencadenan cuando el motor de malware detecta actividades de red malintencionadas. Por ejemplo, el motor detecta un ataque conocido, como Conficker.
Alertas de anomalías Se desencadenan cuando el motor de anomalías detecta una desviación. Por ejemplo, un dispositivo realiza exámenes de red, pero no se define como un dispositivo de detección.

La directiva de detección de alertas de Defender para IoT dirige los diferentes motores de alertas para desencadenar alertas basadas en el impacto empresarial y el contexto de red, y reduce las alertas relacionadas con TI de bajo valor. Para obtener más información, consulte Alertas centradas en entornos de OT/TI.

Categorías de alerta admitidas

Cada alerta tiene una de las siguientes categorías:

  • Comportamiento de comunicación anómalo
  • Comportamiento de comunicación HTTP anómalo
  • Authentication
  • Copia de seguridad
  • Anomalías de ancho de banda
  • Desbordamiento de búfer
  • Errores de comando
  • Cambios en la configuración
  • Alertas personalizadas
  • Detección
  • Cambio de firmware
  • Comandos ilegales
  • Acceso a Internet
  • Errores de operación
  • Problemas operativos
  • Programar
  • Acceso remoto
  • Comandos de reinicio y parada
  • Examinar
  • Tráfico del sensor
  • Sospecha de actividad malintencionada
  • Sospecha de malware
  • Comportamiento de comunicación no autorizado
  • Sin respuesta

Alertas del motor de directivas

Las alertas del motor de directivas describen las desviaciones detectadas del comportamiento de línea base aprendido.

Título Descripción severity Categoría MITRE ATT&CK
Tácticas y técnicas
Más información
Se ha cambiado el software Beckhoff El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Error de inicio de sesión en la base de datos Se detectó un error de inicio de sesión desde un dispositivo de origen a un servidor de destino. Esto podría ser resultado de un error humano, pero también podría indicar un intento malintencionado de poner en peligro el servidor o los datos que hay en él.

Umbral: 2 errores de inicio de sesión en 5 minutos
Media Authentication Tácticas:
- Movimiento lateral
-Colección

Técnicas:
- T0812: Credenciales predeterminadas
- T0811: datos de repositorios de información
No se puede aprender
Se ha modificado la versión de firmware de Emerson ROC El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Una dirección externa de la red se ha comunicado con Internet Un dispositivo de origen definido como parte de la red se está comunicando con direcciones de Internet. El origen no está autorizado para comunicarse con direcciones de Internet. Alto Acceso a Internet Tácticas:
- Acceso inicial

Técnicas:
- T0883: dispositivo accesible desde Internet
Más información
Dispositivo de campo detectado de forma inesperada Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. Medio Detección Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Cambio de firmware detectado El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
No se puede aprender
Se ha cambiado la versión de firmware El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Operación no autorizada de Foxboro I/A Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Error de inicio de sesión de FTP Se detectó un error de inicio de sesión desde un dispositivo de origen a un servidor de destino. Esta alerta podría ser resultado de un error humano, pero también podría indicar un intento malintencionado de poner en peligro el servidor o los datos que hay en él. Media Authentication Tácticas:
- Movimiento lateral
- Comando y control

Técnicas:
- T0812: Credenciales predeterminadas
- T0869: protocolo de nivel de aplicación estándar
No se puede aprender
El código de función generó una excepción no autorizada* Un dispositivo de origen (secundario) ha devuelto una excepción a un dispositivo de destino (principal). Media Errores de comando Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0835: manipular la imagen de E/S
Más información
Configuración del tipo de mensaje de GOOSE Se ha modificado la configuración del mensaje (identificado por el id. de protocolo) en un dispositivo de origen. Bajo Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información
La versión del firmware de Honeywell ha cambiado. El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Comunicación HTTP ilícita * Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación HTTP anómalo Tácticas:
-Descubrimiento

Técnicas:
- T0846: detección de sistema remoto
Más información
Se ha detectado un acceso a Internet Un dispositivo de origen definido como parte de la red se está comunicando con direcciones de Internet. El origen no está autorizado para comunicarse con direcciones de Internet. Media Acceso a Internet Tácticas:
- Acceso inicial

Técnicas:
- T0883: dispositivo accesible desde Internet
Más información
La versión del firmware de Mitsubishi ha cambiado. El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Infracción del intervalo de direcciones de Modbus Un dispositivo principal solicitó acceso a una nueva dirección de memoria secundaria. Media Comportamiento de comunicación no autorizado Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
La versión del firmware de Modbus ha cambiado. El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Nueva actividad detectada: clase CIP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
-Descubrimiento

Técnicas:
- T0888: detección de información del sistema
Más información
Nueva actividad detectada: servicio de clase CIP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0836: modificar parámetro
Más información
Nueva actividad detectada: comando CIP PCCC Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0836: modificar parámetro
Más información
Nueva actividad detectada: símbolo CIP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Nueva actividad detectada: conexión de E/S de EtherNet/IP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
-Descubrimiento
- Función de inhibición de respuesta

Técnicas:
- T0846: Detección remota del sistema
- T0835: manipular la imagen de E/S
Más información
Nueva actividad detectada: comando de protocolo de EtherNet/IP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0836: modificar parámetro
Más información
Nueva actividad detectada: código de mensaje de GSM Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- CommandAndControl

Técnicas:
- T0869: protocolo de nivel de aplicación estándar
Más información
Nueva actividad detectada: códigos de comando de LonTalk Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
-Colección
- Afectar el control de procesos

Técnicas:
- T0861 - Identificación de punto e etiqueta
- T0855: mensaje de comando no autorizado
Más información
Nueva detección de puertos Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Bajo Detección Tácticas:
- Movimiento lateral

Técnicas:
- T0867: Transferencia de herramientas lateral
Más información
Nueva actividad detectada: variable de red de LonTalk Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
Más información
Nueva actividad detectada: solicitud de datos de Ovation Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
-Colección
-Descubrimiento

Técnicas:
- T0801: Supervisar el estado del proceso
- T0888: detección de información del sistema
Más información
Nueva actividad detectada: comando de lectura/escritura (grupo de índices de AMS) Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Cambios de configuración Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Nueva actividad detectada: comando de lectura/escritura (desplazamiento de índices de AMS) Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Cambios de configuración Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Nueva actividad detectada: tipo de mensaje de DeltaV no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Nueva actividad detectada: operación de DeltaV ROC no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Nueva actividad detectada: tipo de mensaje de RPC no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
Más información
Nueva actividad detectada: uso del comando de protocolo de AMS Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: Modificar parámetro
- T0821: Modificar tareas del controlador
Más información
Nueva actividad detectada: uso de comandos de Siemens SICAM Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Nueva actividad detectada: uso del comando de protocolo de Suitelink Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Nueva actividad detectada: uso de sesiones de protocolo de Suitelink Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información
Nueva actividad detectada: uso del comando de Yokogawa VNetIP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Se ha detectado un nuevo recurso Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado.

Esta alerta se aplica a los dispositivos detectados en subredes de OT. Los nuevos dispositivos detectados en subredes de TI no desencadenan una alerta.
Mediana Detección Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Nueva configuración del dispositivo LLDP Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. Medio Cambios de configuración Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Comando no autorizado de Omron FINS Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
Más información
Se ha modificado el firmware de S7 Plus PLC El firmware se actualizó en un dispositivo de origen. Esto puede ser actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. Medio Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
Configuración del tipo de mensaje de valores de ejemplo Se ha modificado la configuración del mensaje (identificado por el id. de protocolo) en un dispositivo de origen. Bajo Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
Sospecha de un examen de integridad no válido* Se ha detectado un análisis en un dispositivo de origen de DNP3 (estación remota). Este examen no se ha autorizado como tráfico aprendido de la red. Media Examinar Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Comando no autorizado de Toshiba Computer Link Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Bajo Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Operación de archivo ABB Totalflow no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
No se puede aprender
Operación de registro de ABB Totalflow no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
No se puede aprender
Acceso no autorizado al bloque de datos de Siemens S7 Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. Bajo Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
- Acceso inicial

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0811: datos de repositorios de información
Más información
Acceso no autorizado al objeto de Siemens S7 Plus Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas de controlador
- T0809: destrucción de datos
Más información
Acceso no autorizado a la etiqueta Wonderware Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. Medio Comportamiento de comunicación no autorizado Tácticas:
-Colección
- Afectar el control de procesos

Técnicas:
- T0861: Identificación de punto e etiqueta
- T0855: mensaje de comando no autorizado
Más información
Acceso no autorizado a objetos BACNet Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Ruta BACNet no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Inicio de sesión a la base de datos no autorizado* Se ha detectado un intento de inicio de sesión entre un cliente de origen y un servidor de destino. La comunicación entre estos dispositivos no está autorizada como tráfico aprendido en la red. Medio Authentication Tácticas:
- Movimiento lateral
-Persistencia
-Colección

Técnicas:
- T0859: Cuentas válidas
- T0811: datos de repositorios de información
Más información
Operación de base de datos no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación anómalo Tácticas:
- Afectar el control de procesos
- Acceso inicial

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0811: datos de repositorios de información
Más información
Operación de Emerson ROC no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Acceso no autorizado a archivos de GE SRTP Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
-Colección
- LateralMovement
-Persistencia

Técnicas:
- T0801: Supervisar el estado del proceso
- T0859: cuentas válidas
Más información
Comando de protocolo de GE SRTP no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Operación de memoria del sistema de GE SRTP no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
-Descubrimiento
- Afectar el control de procesos

Técnicas:
- T0846: Detección remota del sistema
- T0855: mensaje de comando no autorizado
Más información
Actividad HTTP no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación HTTP anómalo Tácticas:
- Acceso inicial
- Comando y control

Técnicas:
- T0822: Servicios remotos externos
- T0869: protocolo de nivel de aplicación estándar
Más información
Acción SOAP HTTP no autorizada* Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación HTTP anómalo Tácticas:
- Comando y control
-Ejecución

Técnicas:
- T0869: Protocolo de capa de aplicación estándar
- T0871: Ejecución a través de la API
Más información
Agente de usuario HTTP no autorizado * Se ha detectado una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. Medio Comportamiento de comunicación HTTP anómalo Tácticas:
- Comando y control

Técnicas:
- T0869: protocolo de nivel de aplicación estándar
Más información
Se ha detectado una conexión a Internet no autorizada. Un dispositivo de origen definido como parte de la red se está comunicando con direcciones de Internet. El origen no está autorizado para comunicarse con direcciones de Internet. Alto Acceso a Internet Tácticas:
- Acceso inicial

Técnicas:
- T0883: dispositivo accesible desde Internet
Más información
Comando MELSEC de Mitsubishi no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Acceso no autorizado a programas MMS Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. Medio Programar Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Servicio MMS no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0821: Modificar tareas del controlador
Más información
Conexión de multidifusión/difusión no autorizada Se ha detectado una conexión de multidifusión/difusión entre un dispositivo de origen y otros dispositivos. La comunicación multidifusión/difusión no está autorizada. Alto Comportamiento de comunicación anómalo Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Consulta de nombre no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación anómalo Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
Actividad de OPC UA no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información
Solicitud o respuesta de OPC UA no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información
Una regla definida por el usuario ha detectado una operación no autorizada Se ha detectado tráfico entre dos dispositivos. Esta actividad no se autoriza en función de una regla de alerta personalizada definida por un usuario. Media Alertas personalizadas Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Lectura no autorizada de la configuración de PLC El dispositivo de origen no se ha definido como un dispositivo de programación pero realizó una operación de lectura y escritura en un controlador de destino. Los dispositivos de programación son los únicos que deben realizar cambios de programación. Es posible que se haya instalado una aplicación de programación en este dispositivo. Bajo Cambios de configuración Tácticas:
-Colección

Técnicas:
- T0801: supervisar el estado del proceso
Más información
Escritura no autorizada de la configuración de PLC El dispositivo de origen envió un comando para leer el programa de un controlador de destino o escribir en él. Esta actividad no se ha mostrado anteriormente. Media Cambios de configuración Tácticas:
- Afectar el control de procesos
-Persistencia
-Impacto

Técnicas:
- T0839: Firmware del módulo
- T0831: Manipulación del control
- T0889: modificar programa
Más información
Carga de programa PLC no autorizada El dispositivo de origen envió un comando para leer el programa de un controlador de destino o escribir en él. Esta actividad no se ha mostrado anteriormente. Media Programar Tácticas:
- Afectar el control de procesos
-Persistencia
-Colección

Técnicas:
- T0839: Firmware del módulo
- T0845: carga de programas
Más información
Programación de PLC no autorizada El dispositivo de origen no se ha definido como un dispositivo de programación pero realizó una operación de lectura y escritura en un controlador de destino. Los dispositivos de programación son los únicos que deben realizar cambios de programación. Es posible que se haya instalado una aplicación de programación en este dispositivo. Alto Programar Tácticas:
- Afectar el control de procesos
-Persistencia
- Movimiento lateral

Técnicas:
- T0839: Firmware del módulo
- T0889: Modificar programa
- T0843: descarga de programa
Más información
Tipo de marco Profinet no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información
Comando SAIA S-Bus no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
Más información
Ejecución no autorizada de la función de control de Siemens S7 Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0809: destrucción de datos
Más información
Ejecución no autorizada de la función definida por el usuario de Siemens S7 Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0836: Modificar parámetro
- T0863: ejecución del usuario
Más información
Acceso no autorizado al bloque de Siemens S7 Plus Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Función de inhibición de respuesta
-Persistencia
-Ejecución

Técnicas:
- T0803 - Bloquear mensaje de comando
- T0889: Modificar programa
- T0821: Modificar tareas del controlador
Más información
Operación no autorizada de Siemens S7 Plus Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos
-Ejecución

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0863: ejecución del usuario
Más información
Inicio de sesión de SMB no autorizado Se ha detectado un intento de inicio de sesión entre un cliente de origen y un servidor de destino. La comunicación entre estos dispositivos no está autorizada como tráfico aprendido en la red. Medio Authentication Tácticas:
- Acceso inicial
- Movimiento lateral
-Persistencia

Técnicas:
- T0886: Servicios remotos
- T0859: cuentas válidas
Más información
Operación SNMP no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación anómalo Tácticas:
-Descubrimiento
- Comando y control

Técnicas:
- T0842: Detección de red
- T0885: puerto usado habitualmente
Más información
Acceso a SSH no autorizado Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Acceso remoto Tácticas:
- InitialAccess
- Movimiento lateral
- Comando y control

Técnicas:
- T0886: Servicios remotos
- T0869: protocolo de nivel de aplicación estándar
Más información
Proceso de Windows no autorizado Se ha detectado una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. Medio Comportamiento de comunicación anómalo Tácticas:
-Ejecución
- Elevación de privilegios
- Comando y control

Técnicas:
- T0841: Enlace
- T0885: puerto usado habitualmente
Más información
Servicio de Windows no autorizado Se ha detectado una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. Medio Comportamiento de comunicación anómalo Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: explotación de servicios remotos
Más información
Una regla definida por el usuario ha detectado una operación no autorizada Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros infringe una regla definida por el usuario Media Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Extensión de Modbus Schneider Electric no permitida Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
Más información
Uso no permitido de tipos ASDU Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
Más información
Uso no permitido del código de la función DNP3 Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información
Uso no permitido de la indicación interna (IIN)* Un dispositivo de origen de DNP3 (estación remota) ha comunicado una indicación interna (IIN) que no ha autorizado como tráfico aprendido en la red. Media Comandos ilegales Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Uso no permitido del código de la función de Modbus Se han detectado nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. Media Comportamiento de comunicación no autorizado Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
Más información

Alertas del motor de anomalías

Nota

Este artículo contiene referencias al término esclavo, un término que Microsoft ya no usa. Cuando se quite el término del software, se quitará también del artículo.

Las alertas del motor de anomalías describen las anomalías detectadas en la actividad de red.

Título Descripción severity Categoría MITRE ATT&CK
Tácticas y técnicas
Más información
Patrón de excepción anómalo en dispositivo secundario* Se ha detectado un número excesivo de errores en un dispositivo de origen. Esta alerta puede ser el resultado de un problema operativo.

Umbral: 20 excepciones en 1 hora
Bajo Comportamiento de comunicación anómalo Tácticas:
- Afectar el control de procesos

Técnicas:
- T0806: E/S por fuerza bruta
No se puede aprender
Longitud de encabezado HTTP anómala* El dispositivo de origen ha enviado un mensaje anómalo. Esta alerta podría indicar un intento de atacar el dispositivo de destino. Alto Comportamiento de comunicación HTTP anómalo Tácticas:
- Acceso inicial
- Movimiento lateral
- Comando y control

Técnicas:
- T0866: Explotación de servicios remotos
- T0869: protocolo de nivel de aplicación estándar
Más información
Número anómalo de parámetros en el encabezado HTTP* El dispositivo de origen ha enviado un mensaje anómalo. Esta alerta podría indicar un intento de atacar el dispositivo de destino. Alto Comportamiento de comunicación HTTP anómalo Tácticas:
- Acceso inicial
- Movimiento lateral
- Comando y control

Técnicas:
- T0866: Explotación de servicios remotos
- T0869: protocolo de nivel de aplicación estándar
Más información
Comportamiento periódico anómalo en el canal de comunicación Se ha detectado un cambio en la frecuencia de comunicación entre el dispositivo de origen y el de destino. Bajo Comportamiento de comunicación anómalo Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Finalización anómala de aplicaciones* Se ha detectado un número excesivo de comandos de detención en un dispositivo de origen. Esta alerta puede ser el resultado de un problema operativo o de un intento de manipular el dispositivo.

Umbral: 20 comandos de detención en 3 horas
Media Comportamiento de comunicación anómalo Tácticas:
-Persistencia
-Impacto

Técnicas:
- T0889: Modificar programa
- T0831: manipulación del control
Más información
Ancho de banda de tráfico anómalo* Se ha detectado un ancho de banda anómalo en un canal. El ancho de banda parece ser inferior o superior al detectado previamente. Para más información, trabaje con el widget de ancho de banda total. Bajo Anomalías de ancho de banda Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Ancho de banda de tráfico anómalo entre dispositivos* Se ha detectado un ancho de banda anómalo en un canal. El ancho de banda parece ser inferior o superior al detectado previamente. Para más información, trabaje con el widget de ancho de banda total. Bajo Anomalías de ancho de banda Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Se detectó un análisis de direcciones Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red.

Umbral: 50 conexiones a la misma subred de clase B en 2 minutos
Alto Examinar Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Examen de direcciones ARP detectado* Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red mediante el protocolo de resolución de direcciones (ARP). Esta dirección del dispositivo no está autorizada como dirección de examen de ARP válida.

Umbral: 40 exámenes en 6 minutos
Alto Examinar Tácticas:
-Descubrimiento
-Colección

Técnicas:
- T0842: Detección de red
- T0830: ataque de tipo "Man in the middle"
Más información
Suplantación de identidad de ARP* Se ha detectado una cantidad anómala de paquetes en la red. Esta alerta podría indicar un ataque, por ejemplo, un ataque de suplantación de identidad de ARP o un ataque "flood" de congestión del servidor de ICMP.

Umbral: 60 paquetes en 1 minuto
Bajo Comportamiento de comunicación anómalo Tácticas:
-Colección

Técnicas:
- T0830: ataque de tipo "Man in the middle"
No se puede aprender
Intentos de inicio de sesión excesivos Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esta alerta podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado.

Umbral: 20 intentos de inicio de sesión en 1 minuto
Alto Authentication Tácticas:
- LateralMovement
- Afectar el control de procesos

Técnicas:
- T0812: Credenciales predeterminadas
- T0806: E/S por fuerza bruta
No se puede aprender
Número de sesiones excesivo Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado.

Umbral: 50 sesiones en 1 minuto
Alto Comportamiento de comunicación anómalo Tácticas:
- Movimiento lateral
- Afectar el control de procesos

Técnicas:
- T0812: Credenciales predeterminadas
- T0806: E/S por fuerza bruta
No se puede aprender
Velocidad de reinicio excesiva de una estación remota* Se ha detectado un número excesivo de comandos de reinicio en un dispositivo de origen. Estas alertas pueden ser el resultado de un problema operativo o un intento de manipular el dispositivo.

Umbral: 10 reinicios en 1 hora
Media Comandos de reinicio y parada Tácticas:
- Función de inhibición de respuesta
- Afectar el control de procesos

Técnicas:
- T0814: Denegación de servicio
- T0806: E/S por fuerza bruta
No se puede aprender
Intentos excesivos de inicio de sesión en SMB Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado.

Umbral: 10 intentos de inicio de sesión en 10 minutos
Alto Authentication Tácticas:
-Persistencia
-Ejecución
- LateralMovement

Técnicas:
- T0812: Credenciales predeterminadas
- T0853: Scripting
- T0859: cuentas válidas
No se puede aprender
Ataque "flood" de congestión del servidor de ICM* Se ha detectado una cantidad anómala de paquetes en la red. Esta alerta podría indicar un ataque, por ejemplo, un ataque de suplantación de identidad de ARP o un ataque "flood" de congestión del servidor de ICMP.

Umbral: 60 paquetes en 1 minuto
Bajo Comportamiento de comunicación anómalo Tácticas:
-Descubrimiento
-Colección

Técnicas:
- T0842: Detección de red
- T0830: ataque de tipo "Man in the middle"
No se puede aprender
Contenido de encabezado HTTP no válido* El dispositivo de origen ha iniciado una solicitud no válida. Alto Comportamiento de comunicación HTTP anómalo Tácticas:
- Acceso inicial
- LateralMovement

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Canal de comunicación inactivo* Un canal de comunicación entre dos dispositivos estuvo inactivo durante un período en el que normalmente se observa actividad. Esto podría indicar que se ha cambiado el programa que genera este tráfico o que el programa no está disponible. Se recomienda revisar la configuración del programa instalado y comprobar que está configurado correctamente.

Umbral: 1 minuto
Bajo Sin respuesta Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0881: Service Stop
No se puede aprender
Se ha detectado un examen de direcciones de larga duración* Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red.

Umbral: 50 conexiones a la misma subred de clase B en 10 minutos
Alto Examinar Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Intento de averiguación de contraseña detectado Se ha detectado un dispositivo de origen que realiza demasiados intentos de inicio de sesión en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. El servidor podría estar en peligro por un actor malintencionado.

Umbral: 100 intentos en 1 minuto
Alto Authentication Tácticas:
- Movimiento lateral

Técnicas:
- T0812: Credenciales predeterminadas
- T0806: E/S por fuerza bruta
No se puede aprender
Se ha detectado un examen de PLC Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red.

Umbral: 10 exámenes en 2 minutos
Alto Examinar Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Se ha detectado un examen de puertos Se ha detectado un dispositivo de origen en el análisis de los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red.

Umbral: 25 exámenes en 2 minutos
Alto Examinar Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
Más información
Longitud de mensaje inesperada El dispositivo de origen ha enviado un mensaje anómalo. Esta alerta podría indicar un intento de atacar el dispositivo de destino.

Umbral: longitud de texto, 32768
Alto Comportamiento de comunicación anómalo Tácticas:
- InitialAccess
- LateralMovement

Técnicas:
- T0869: explotación de servicios remotos
No se puede aprender
Tráfico inesperado para el puerto estándar* Se ha detectado tráfico en un dispositivo mediante un puerto reservado para otro protocolo. Media Comportamiento de comunicación anómalo Tácticas:
- Comando y control
-Descubrimiento

Técnicas:
- T0869: Protocolo de capa de aplicación estándar
- T0842: examen de red
No se puede aprender

Alertas del motor de infracciones de protocolo

Las alertas del motor de protocolo describen las desviaciones detectadas en la estructura de los paquetes o en los valores de campo en comparación con las especificaciones del protocolo.

Título Descripción severity Categoría MITRE ATT&CK
Tácticas y técnicas
Más información
Demasiados paquetes con formato incorrecto en una única sesión* Se ha enviado un número anómalo de paquetes con formato incorrecto desde el dispositivo de origen al dispositivo de destino. Esta alerta puede indicar comunicaciones erróneas o un intento de manipular el dispositivo de destino.

Umbral: 2 paquetes con formato incorrecto en 10 minutos
Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0806: E/S por fuerza bruta
No se puede aprender
Actualización de firmware Un dispositivo de origen envió un comando para actualizar el firmware en un dispositivo de destino. Compruebe que las últimas actualizaciones de programación, configuración y firmware realizadas en el dispositivo de destino sean válidas. Bajo Cambio de firmware Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
Más información
El código de función no es compatible con la estación remota El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Mensaje de BACNet no válido El dispositivo de origen ha iniciado una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Intento de conexión no válida en el puerto 0 Un dispositivo de origen intentó conectarse al dispositivo de destino en el número de puerto cero (0). En TCP, el puerto 0 está reservado y no se puede usar. En el caso de UDP, el puerto es opcional y el valor 0 significa que no hay ningún puerto. Normalmente no hay ningún servicio en un sistema que escucha en el puerto 0. Este evento podría indicar un intento de atacar el dispositivo de destino o indicar que una aplicación se programó incorrectamente. Bajo Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Operación de DNP3 no válida El dispositivo de origen ha iniciado una solicitud no válida. Media Comandos ilegales Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Operación MODBUS no válida (excepción generada por el maestro) El dispositivo de origen ha iniciado una solicitud no válida. Media Comandos ilegales Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Operación MODBUS no válida (código de función cero)* El dispositivo de origen ha iniciado una solicitud no válida. Media Comandos ilegales Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Versión de protocolo no válida* El dispositivo de origen ha iniciado una solicitud no válida. Media Comandos ilegales Tácticas:
- Acceso inicial
- LateralMovement
- Afectar el control de procesos

Técnicas:
- T0820: Servicios remotos
- T0836: modificar parámetro
No se puede aprender
Se ha enviado un parámetro incorrecto a una estación remota El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Inicio de un código de función obsoleto (inicializar datos) El dispositivo de origen ha iniciado una solicitud no válida. Bajo Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Inicio de un código de función obsoleto (guardar configuración) El dispositivo de origen ha iniciado una solicitud no válida. Bajo Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
El dispositivo maestro solicitó una confirmación en el nivel de aplicación El dispositivo de origen ha iniciado una solicitud no válida. Bajo Comandos ilegales Tácticas:
- Comando y control

Técnicas:
- T0869: protocolo de nivel de aplicación estándar
No se puede aprender
Excepción Modbus Un dispositivo de origen (secundario) ha devuelto una excepción a un dispositivo de destino (principal). Media Comandos ilegales Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0814: denegación de servicio
No se puede aprender
El dispositivo subordinado recibió un tipo de ASDU no válido El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
El dispositivo subordinado recibió una causa de comando de transmisión no válida El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Un dispositivo subordinado recibió una dirección común no válida El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Un dispositivo secundario recibió un parámetro de dirección de datos no válido* El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Un dispositivo secundario recibió un parámetro de valor de datos no válido* El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
El dispositivo subordinado ha recibido un código de función no válido* El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
El dispositivo subordinado recibió una dirección de objeto de información no válida El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: Mensaje de comando no autorizado
- T0836: modificar parámetro
No se puede aprender
Se ha enviado un objeto desconocido a la estación remota El dispositivo de destino ha recibido una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Uso de un código de función reservado El dispositivo de origen ha iniciado una solicitud no válida. Media Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
Uso de un formato incorrecto por parte de la estación remota* El dispositivo de origen ha iniciado una solicitud no válida. Bajo Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Uso de marcas de estado reservadas (IIN) Un dispositivo de origen de DNP3 (estación remota) usó el indicador interno reservado 2.6. Se recomienda comprobar la configuración del dispositivo. Bajo Comandos ilegales Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender

Alertas del motor de malware

Las alertas del motor de malware describen la actividad de red malintencionada que se ha detectado.

Título Descripción severity Categoría MITRE ATT&CK
Tácticas y técnicas
Más información
Intento de conexión a una dirección IP malintencionada conocida Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido.

Desencadenadas por sensores de red de OT y Enterprise IoT.
Alto Sospecha de actividad malintencionada Tácticas:
- Acceso inicial
- Comando y control

Técnicas:
- T0883: Dispositivo accesible desde Internet
- T0884: proxy de conexión
No se puede aprender
Mensaje SMB no válido (implante de puerta trasera de DoublePulsar) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Acceso inicial
- LateralMovement

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Solicitud de nombre de dominio malintencionado Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido.

Desencadenadas por sensores de red de OT y Enterprise IoT.
Alto Sospecha de actividad malintencionada Tácticas:
- Acceso inicial
- Comando y control

Técnicas:
- T0883: Dispositivo accesible desde Internet
- T0884: proxy de conexión
Más información
Ruta de acceso de dirección URL malintencionada Se realizó una solicitud a una ruta de acceso de dirección URL malintencionada conocida. Las solicitudes realizadas para esta ruta de acceso URL pueden indicar que el origen que realiza la solicitud está en peligro. Alto Sospecha de actividad malintencionada Tácticas:
- Acceso inicial
- Comando y control

Técnicas:
- T0883: Dispositivo accesible desde Internet
- T0884: proxy de conexión
No se puede aprender
Archivo de prueba de malware detectado: el antivirus EICAR ha funcionado correctamente Se detectó un archivo de prueba de AV DECAR en el tráfico entre dos dispositivos (a través de cualquiera de los dos transportes siguientes: TCP o UDP). El archivo no es malware. Se usa para confirmar que el software antivirus está instalado correctamente. Muestra lo que sucede cuando se detecta un virus y comprueba los procedimientos internos y las reacciones cuando se detecta un virus. El software antivirus debe detectar EICAR como si fuera un virus real. Alto Sospecha de actividad malintencionada Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Sospecha de malware de Conficker Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Medio Sospecha de malware Tácticas:
- Acceso inicial
-Impacto

Técnicas:
- T0826: Pérdida de disponibilidad
- T0828: Pérdida de productividad e ingresos
- T0847: replicación a través de medios extraíbles
No se puede aprender
Sospecha de ataque de denegación de servicio Un dispositivo de origen intentó iniciar un número excesivo de conexiones nuevas con un dispositivo de destino. Esto podría indicar un ataque por denegación de servicio (DOS) contra el dispositivo de destino y podría interrumpir la funcionalidad del dispositivo, afectar al rendimiento y la disponibilidad del servicio, o provocar errores irrecuperables.

Umbral: 3000 intentos en 1 minuto
Alto Sospecha de actividad malintencionada Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0814: denegación de servicio
Más información
Sospecha de actividad malintencionada Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que desencadenó "Indicadores de riesgo" conocidos (IOC). El equipo se seguridad debe revisar los metadatos de la alerta. Alto Sospecha de actividad malintencionada Tácticas:
- Movimiento lateral

Técnicas:
- T0867: Transferencia de herramientas lateral
No se puede aprender
Sospecha de actividad malintencionada (BlackEnergy) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Comando y control

Técnicas:
- T0869: protocolo de nivel de aplicación estándar
No se puede aprender
Sospecha de actividad malintencionada (DarkComet) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
-Impacto

Técnicas:
- T0882: robo de información operativa
No se puede aprender
Sospecha de actividad malintencionada (Duqu) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
-Impacto

Técnicas:
- T0882: robo de información operativa
No se puede aprender
Sospecha de actividad malintencionada (Flame) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
-Colección
-Impacto

Técnicas:
- T0882: Robo de información operativa
- T0811: datos de repositorios de información
No se puede aprender
Sospecha de actividad malintencionada (Havex) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
-Colección
-Descubrimiento
- Función de inhibición de respuesta

Técnicas:
- T0861: Identificación de punto e etiqueta
- T0846: Detección remota del sistema
- T0814: denegación de servicio
No se puede aprender
Sospecha de actividad malintencionada (Karagany) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
-Impacto

Técnicas:
- T0882: robo de información operativa
No se puede aprender
Sospecha de actividad malintencionada (LightsOut) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
-Evasión

Técnicas:
- T0849: enmascaramiento
No se puede aprender
Sospecha de actividad malintencionada (consultas de nombre) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido.

Umbral: 25 consultas de nombre en 1 minuto
Alto Sospecha de actividad malintencionada Tácticas:
- Comando y control

Técnicas:
- T0884: proxy de conexión
No se puede aprender
Sospecha de actividad malintencionada (Poison Ivy) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Sospecha de actividad malintencionada (Regin) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Acceso inicial
- Movimiento lateral
-Impacto

Técnicas:
- T0866: Explotación de servicios remotos
- T0882: robo de información operativa
No se puede aprender
Sospecha de actividad malintencionada (Stuxnet) Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Acceso inicial
- Movimiento lateral
-Impacto

Técnicas:
- T0818: Compromiso de estación de trabajo de ingeniería
- T0866: Explotación de servicios remotos
- T0831: manipulación del control
No se puede aprender
Sospecha de actividad malintencionada (WannaCry)* Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Medio Sospecha de malware Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: Explotación de servicios remotos
- T0867: Transferencia de herramientas lateral
No se puede aprender
Sospecha de malware de NotPetya: se han detectado parámetros SMB no válidos Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Acceso inicial
- Movimiento lateral

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Sospecha de malware de NotPetya: se ha detectado una transacción de SMB no válida Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de malware Tácticas:
- Movimiento lateral

Técnicas:
- T0867: Transferencia de herramientas lateral
No se puede aprender
Sospecha de ejecución remota de código con PsExec Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de actividad malintencionada Tácticas:
- Movimiento lateral
- Acceso inicial

Técnicas:
- T0866: explotación de servicios remotos
No se puede aprender
Sospecha de administración remota de servicios de Windows* Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de actividad malintencionada Tácticas:
- Acceso inicial

Técnicas:
- T0822: servicios remotos NetworkExternal
No se puede aprender
Archivo ejecutable sospechoso detectado en un punto de conexión Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que aprovecha un método usado por malware conocido. Alto Sospecha de actividad malintencionada Tácticas:
-Evasión
- Función de inhibición de respuesta

Técnicas:
- T0851: Rootkit
Más información
Tráfico sospechoso detectado* Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada a un ataque que desencadenó "Indicadores de riesgo" conocidos (IOC). El equipo se seguridad debe revisar los metadatos de la alerta. Alto Sospecha de actividad malintencionada Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Actividad de copia de seguridad con firmas de antivirus El tráfico detectado entre el dispositivo de origen y el servidor de copia de seguridad de destino desencadenó esta alerta. El tráfico incluye la copia de seguridad de software antivirus que podría contener firmas de malware. Probablemente se trata de una actividad de copia de seguridad legítima. Bajo Backup Tácticas:
-Impacto

Técnicas:
- T0882: robo de información operativa
No se puede aprender

Alertas del motor operativo

Las alertas del motor operativo describen los incidentes operativos que se han detectado, o las entidades que no funcionan correctamente.

Título Descripción severity Categoría MITRE ATT&CK
Tácticas y técnicas
Más información
Se ha enviado un comando de detención de PLC de S7 El dispositivo de origen ha enviado un comando de detención a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando start. Bajo Comandos de reinicio y parada Tácticas:
- Movimiento lateral
- Evasión de defensa
-Ejecución
- Función de inhibición de respuesta

Técnicas:
- T0843: Descarga del programa
- T0858: Cambiar modo de funcionamiento
- T0814: denegación de servicio
No se puede aprender
Error en la operación BACNet Un servidor ha devuelto un código de error. Esta alerta indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Estado incorrecto del dispositivo MMS Un dispositivo de fabricación virtual MMS (VMD) ha enviado un mensaje de estado. El mensaje indica que es posible que el servidor no esté configurado correctamente, parcialmente operativo o no operativo en absoluto. Medio Problemas operativos Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0814: denegación de servicio
No se puede aprender
Cambio en la configuración del dispositivo* Se ha detectado un cambio de configuración en un dispositivo de origen. Bajo Cambios de configuración Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
Desbordamiento continuo del búfer de eventos en una estación remota* Se ha detectado un evento de desbordamiento de búfer en un dispositivo de origen. El evento puede provocar daños en los datos, bloqueos de programa o ejecución de código malintencionado.

Umbral: 3 repeticiones en 10 minutos
Media Desbordamiento de búfer Tácticas:
- Función de inhibición de respuesta
- Afectar el control de procesos
-Persistencia

Técnicas:
- T0814: Denegación de servicio
- T0806: E/S de fuerza bruta
- T0839: firmware del módulo
No se puede aprender
Restablecimiento del controlador Un dispositivo de origen ha enviado un comando de restablecimiento a un controlador de destino. El controlador ha dejado de funcionar temporalmente y se ha iniciado de nuevo automáticamente. Bajo Comandos de reinicio y parada Tácticas:
- Evasión de defensa
-Ejecución
- Función de inhibición de respuesta

Técnicas:
- T0858: Cambiar modo de funcionamiento
- T0814: denegación de servicio
No se puede aprender
Detención del controlador El dispositivo de origen ha enviado un comando de detención a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando start. Bajo Comandos de reinicio y parada Tácticas:
- Movimiento lateral
- Evasión de defensa
-Ejecución
- Función de inhibición de respuesta

Técnicas:
- T0843: Descarga del programa
- T0858: Cambiar modo de funcionamiento
- T0814: denegación de servicio
No se puede aprender
El dispositivo no pudo recibir una dirección IP dinámica El dispositivo de origen está configurado para recibir una dirección IP dinámica de un servidor DHCP, pero no recibió una dirección. Esto indica un error de configuración en el dispositivo o un error operativo en el servidor DHCP. Se recomienda notificar al administrador de red el incidente Media Errores de comando Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Se sospecha que el dispositivo está desconectado (no responde) Un dispositivo de origen no respondió a un comando que se le ha enviado. Es posible que se haya desconectado cuando se envió el comando.

Umbral: 8 intentos en 5 minutos
Media Sin respuesta Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0881: Service Stop
No se puede aprender
Error en la solicitud de servicio CIP de EtherNet/IP Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Error del comando de protocolo de encapsulación de EtherNet/IP Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
-Colección

Técnicas:
- T0801: supervisar el estado del proceso
No se puede aprender
Desbordamiento de búfer de eventos en estación remota Se ha detectado un evento de desbordamiento de búfer en un dispositivo de origen. El evento puede provocar daños en los datos, bloqueos de programa o ejecución de código malintencionado. Medio Desbordamiento de búfer Tácticas:
- Función de inhibición de respuesta
- Afectar el control de procesos
-Persistencia

Técnicas:
- T0814: Denegación de servicio
- T0839: firmware del módulo
No se puede aprender
No se ha producido la operación de copia de seguridad esperada No se ha producido la actividad de copia de seguridad o transferencia de archivos esperada entre dos dispositivos. Esta alerta podría indicar errores en el proceso de copia de seguridad o transferencia de archivos.

Umbral: 100 segundos
Media Backup Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0809: destrucción de datos
Más información
Error de comando de GE SRTP Un servidor ha devuelto un código de error. Esta alerta indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Se ha enviado el comando de detención de PLC GE SRTP El dispositivo de origen ha enviado un comando de detención a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando start. Bajo Comandos de reinicio y parada Tácticas:
- Movimiento lateral
- Evasión de defensa
-Ejecución
- Función de inhibición de respuesta

Técnicas:
- T0843: Descarga del programa
- T0858: Cambiar modo de funcionamiento
- T0814: denegación de servicio
No se puede aprender
El bloque de control GOOSE requiere una configuración adicional Un dispositivo de origen ha enviado un mensaje GOOSE que indica que el dispositivo necesita una puesta en marcha. Esto significa que el bloque de control GOOSE requiere una configuración adicional y que los mensajes GOOSE no son operativos de forma parcial o total. Media Cambios de configuración Tácticas:
- Afectar el control de procesos
- Función de inhibición de respuesta

Técnicas:
- T0803: Bloquear mensaje de comando
- T0821: Modificar tareas del controlador
No se puede aprender
Se ha cambiado la configuración del conjunto de datos de GOOSE* Se ha cambiado un conjunto de datos de mensaje (identificado por el id. de protocolo) en un dispositivo de origen. Esto significa que el dispositivo informa de un conjunto de datos diferente para este mensaje. Bajo Cambios de configuración Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
Estado inesperado del controlador Honeywell Un controlador Honeywell ha enviado un mensaje de diagnóstico inesperado que indica un cambio de estado. Bajo Problemas operativos Tácticas:
-Evasión
-Ejecución

Técnicas:
- T0858: cambiar modo de funcionamiento
No se puede aprender
Errores del cliente HTTP* El dispositivo de origen ha iniciado una solicitud no válida. Bajo Comportamiento de comunicación HTTP anómalo Tácticas:
- Comando y control

Técnicas:
- T0869: protocolo de nivel de aplicación estándar
No se puede aprender
Dirección IP no válida El sistema ha detectado tráfico entre un dispositivo de origen y una dirección IP que no es una dirección válida. Esto puede indicar una configuración incorrecta o un intento de generar tráfico no válido. Bajo Comportamiento de comunicación anómalo Tácticas:
-Descubrimiento
- Afectar el control de procesos

Técnicas:
- T0842: Detección de red
- T0836: modificar parámetro
No se puede aprender
Error de autenticación maestro-subordinado Error en el proceso de autenticación entre un dispositivo de origen DNP3 (principal) y un dispositivo de destino (estación remota). Bajo Authentication Tácticas:
- Movimiento lateral
-Persistencia

Técnicas:
- T0859: cuentas válidas
No se puede aprender
Error en la solicitud de servicio de MMS Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
No se ha detectado ningún tráfico en la interfaz del sensor Un sensor ha dejado de detectar tráfico de red en una interfaz de red. Alto Tráfico del sensor Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0881: Service Stop
No se puede aprender
El servidor de OPC UA ha generado un evento que requiere la atención del usuario Un servidor de OPC UA ha enviado una notificación de eventos a un cliente. Este tipo de evento requiere la atención del usuario Media Problemas operativos Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0838: Modificar la configuración de alarma
No se puede aprender
Error en la solicitud de servicio de OPC UA Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
La estación remota se ha reiniciado Se ha detectado un reinicio en frío en un dispositivo de origen. Esto significa que el dispositivo se apagó físicamente y que ha vuelto a encenderse. Bajo Comandos de reinicio y parada Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0816: reinicio/apagado del dispositivo
No se puede aprender
La estación remota se reinicia con frecuencia Se ha detectado un número excesivo de reinicios en frío en un dispositivo de origen. Esto significa que el dispositivo se apagó físicamente y que vuelve encenderse un número excesivo de veces.

Umbral: 2 reinicios en 10 minutos
Bajo Comandos de reinicio y parada Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0814: Denegación de servicio
- T0816: reinicio/apagado del dispositivo
No se puede aprender
Se ha cambiado la configuración de la estación remota Se ha detectado un cambio de configuración en un dispositivo de origen. Media Cambios de configuración Tácticas:
- Función de inhibición de respuesta
-Persistencia

Técnicas:
- T0857: firmware del sistema
No se puede aprender
Se ha detectado una configuración dañada de la estación remota Este dispositivo de origen DNP3 (estación remota) ha informado de una configuración dañada. Media Cambios de configuración Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0809: destrucción de datos
No se puede aprender
Error del comando DCP de Profinet Un servidor ha devuelto un código de error. Esto indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Restablecimiento de fábrica de dispositivos Profinet Un dispositivo de origen ha enviado un comando de restablecimiento de fábrica a un dispositivo de destino Profinet. El comando de restablecimiento borra la configuración del dispositivo Profinet y detiene su funcionamiento. Bajo Comandos de reinicio y parada Tácticas:
- Evasión de defensa
-Ejecución
- Función de inhibición de respuesta

Técnicas:
- T0858: Cambiar modo de funcionamiento
- T0814: denegación de servicio
No se puede aprender
Error en la operación de RPC* Un servidor ha devuelto un código de error. Esta alerta indica un error del servidor o una solicitud no válida de un cliente. Media Errores de comando Tácticas:
- Afectar el control de procesos

Técnicas:
- T0855: mensaje de comando no autorizado
No se puede aprender
Se ha modificado la configuración del conjunto de datos del mensaje de valores de ejemplo* Se ha cambiado un conjunto de datos de mensaje (identificado por el id. de protocolo) en un dispositivo de origen. Esto significa que el dispositivo informa de un conjunto de datos diferente para este mensaje. Bajo Cambios de configuración Tácticas:
- Afectar el control de procesos

Técnicas:
- T0836: modificar parámetro
No se puede aprender
Error irrecuperable del dispositivo subordinado* Se ha detectado un error de condición irrecuperable en un dispositivo de origen. Este tipo de error suele indicar un error de hardware o un error al ejecutar un comando específico. Media Errores de comando Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0814: denegación de servicio
No se puede aprender
Sospecha de problemas de hardware en la estación remota Se ha detectado un error de condición irrecuperable en un dispositivo de origen. Este tipo de error suele indicar un error de hardware o un error al ejecutar un comando específico. Media Problemas operativos Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0814: Denegación de servicio
- T0881: Service Stop
No se puede aprender
Sospecha de dispositivo MODBUS sin respuesta Un dispositivo de origen no respondió a un comando que se le ha enviado. Es posible que se haya desconectado cuando se envió el comando.

Umbral: mínimo de 1 respuesta válida para un mínimo de 3 solicitudes en un plazo de 5 minutos
Bajo Sin respuesta Tácticas:
- Función de inhibición de respuesta

Técnicas:
- T0881: Service Stop
No se puede aprender
Se ha detectado tráfico en la interfaz del sensor Un sensor ha reanudado la detección de tráfico de red en una interfaz de red. Bajo Tráfico del sensor Tácticas:
-Descubrimiento

Técnicas:
- T0842: examen de red
No se puede aprender
Modo de funcionamiento PLC cambiado El modo de funcionamiento en este PLC cambió. El nuevo modo podría indicar que el PLC no es seguro. Dejar el PLC en un modo operativo no seguro podría permitir que los adversarios realicen actividades malintencionadas en él, como una descarga del programa. Si el PLC está en peligro, los dispositivos y los procesos que interactúan con él podrían verse afectados. Esto puede afectar a la seguridad y seguridad generales del sistema. Bajo Cambios en la configuración Tácticas:
-Ejecución
-Evasión

Técnicas:
- T0858: cambiar modo de funcionamiento
No se puede aprender

Pasos siguientes

Para más información, consulte: